ИТ-специалист и безопасность компании

В специальной литературе существует много различных определений безопасности. С практической точки зрения представляется наиболее продуктивным следующее:

Безопасность — это состояние защищённости жизненно важных интересов от потенциальных и / или реально существующих угроз.

Ключевым элементом приведённого определения является понятие «угрозы». Классификации угроз посвящено огромное число как научных, так и научно-популярных работ. В нашем контексте мы рассматриваем только угрозы, исходящие по воле конкретных людей (за скобками остаются угрозы природного, техногенного, политического экономического характера и пр.). Человека, который представляет потенциальную угрозу, принято называть «Противником». Это и не обязательно внешний конкурент, враг: в качестве Противника может выступить и сотрудник Компании, если он начнёт преследовать цели, наносящие ей ущерб.

Какие существуют угрозы, и кто является возможным противником

При анализе безопасности Компании для каждого Противника следует выделить:

  1. какие цели может преследовать Противник (т. е. что опасно для Компании);
  2. какими ресурсами, исходными данными и возможностями может располагать Противник для достижения этих целей.

Угрозы, связанные с разглашением (или скрытой утечкой к конкурентам) информации, для компаний малого и среднего бизнеса, работающих в сфере нематериального производства (консалтинговые, юридические, кадровые агентства и т. п.), как правило, сводятся к утечке следующих видов информации:

  1. информация, связанная с финансовой стороной деятельности Компании (бухгалтерская информация, финансовые итоги деятельности —
    прибыли / убытки, схемы проведения платежей, финансовые условия заключенных контрактов и т. п.);
  2. информация, связанная с кадровым обеспечением Компании (состав сотрудников, размер их вознаграждения, системы стимулирования
    деятельности и т. п.);
  3. база данных клиентов Компании;
  4. «ноу-хау», обеспечивающее конкурентные преимущества Компании (в случае кадровых агентств, это, в первую очередь, по-видимому, базы данных кандидатов);
  5. условия, выставляемые Компаний при участии в конкурсах на заключение контрактов;
  6. проблемные моменты деятельности Компании (история и итоги судебных, арбитражных разбирательств, информация о существующих внутренних конфликтах и т. п.).

Конечно, существуют и иные виды угроз: угроза саботажа при попытках доступа к информации, необходимой в производственном процессе; угроза перехвата (юридического) управления компанией; угроза воровства денег со счетов компании и т. п. Но это темы совсем другого разговора.

Теперь несколько слов о том, что может использовать Противник для достижения поставленных им «зловредных» целей. Это прежде всего определяется позицией, которую занимает Противник по отношению к Компании. Он может быть:

  • «внешним», т. е. не имеющим прямого отношения к Компании — бандит «с улицы», конкурирующая компания и т. п.;
  • имеющим опосредованное отношение к Компании — бывшие и уволенные сотрудники; люди, связанные с обеспечением работы Компании (арендодатели, уборщицы, приглашаемые ремонтники оборудования, переводчики и т. п.), бизнес-партнёры, коррумпированные сотрудники органов исполнительной власти, контролирующих деятельность компании и пр.;
  • «внутренним» — штатные сотрудники компании, которые начинают преследовать цели, противоречащие интересам Компании.

Последний тип Противника, очевидно, является наиболее опасным, т. к. именно «внутренний» Противник обладает наибольшими возможностями для реализации своих «зловредных» целей. Конечно, возможности «внутреннего» Противника определяются преимущественно тем, какую должность он занимает в Компании. Не следует забывать также и о том, что возможны коалиции из нескольких Противников.

Наконец, мы подошли и к ИТ-специалистам (системным администраторам — так называемым сисадминам). Увы, но с точки зрения безопасности Компании, если ИТ-специалист начинает выступать в роли Противника, то это наиболее опасный вид угроз! В позиции сисадмина технически можно сделать всё что угодно с корпоративной информационной системой. Ведь именно для управления этой системой его и нанимали на работу!

ИТ-специалист и безопасность компании: практические аспекты

«Never back down»

Деятельность любой Компании по обеспечению своей безопасности сводится к следующим типам мер (и различным их комбинациям):

  • технические меры;
  • юридические меры;
  • организационные и административные меры.

Рассмотрим по порядку, что могут дать эти меры для обеспечения безопасности Компании от потенциальных угроз со стороны ИТ-специалиста.

Технические меры обеспечения информационной безопасности — это основная тема обсуждений на всевозможных конференциях. К этим средствам в первую очередь относятся различные средства разграничения доступа к базам данных, средства контроля входящего и исходящего информационного трафика, средства контроля целостности программного обеспечения и т. д. Из отечественных разработок, представленных на рынке, можно упомянуть средство контроля входящего / исходящего трафика для противодействия «внутренним» Противникам —
разработку компании Натальи Касперской (не путать
с Евгением!) InfoWatch.

Но, по-видимому, для защиты от ИТ-специалиста этот тип мер вряд ли будет достаточным, поскольку в любой компании все технические средства защиты информации будет устанавливать, настраивать и администрировать именно этот ИТ-специалист! При надлежащей квалификации грамотный сисадмин всегда сможет обойти любые установленные им самим средства защиты.

Юридические меры обеспечения информационной безопасности компании должны опираться на существующий корпус законов (Федеральный закон Российской Федерации № 149-ФЗ «Об информации, информационных технологиях и о защите информации», Федеральный закон Российской Федерации № 152-ФЗ «О защите персональных данных» и пр.) В российском законодательстве существует понятие конфиденциальной информации и устанавливается юридическая ответственность за её разглашение. Поэтому любая Компания должна использовать этот механизм, а именно в трудовой договор с ИТ-специалистом обязательно следует включать позиции, предусматривающие юридическую ответственность за неправомерное разглашение конфиденциальной информации.

И наконец, последний тип мер, который и призван дать основные гарантии безопасности компании от угроз со стороны ИТ-специалистов — это организационные и административные меры. Это наиболее сложная и деликатная систем мер обеспечения безопасности.

Прежде всего, следует предпринимать все возможные меры, чтобы у ИТ-специалиста не было мотивов выступить в роли противника. Здесь должна быть предусмотрена в первую очередь и высокая зарплата, как минимум не уступающая среднерыночной. Лучше всего, когда у руководителя компании устанавливаются доверительные отношения с ИТ-специалистом, которые позволяют «мониторить» изменения в личных амбициях, вовремя отследить признаки неудовлетворённости, признаки конфликтов в коллективе или в семье. В отношении ИТ-специалистов такая работа должна быть организована отдельно, помимо общей деятельности по созданию «командного духа» во всем коллективе.

Следует крайне деликатно организовывать процедуру увольнения ИТ-специалиста, когда возникает такая необходимость. Практически все наиболее «громкие» опубликованные в прессе случаи утечки конфиденциальной информации связаны с «местью» уволенных сотрудников (классический пример — г-н Сноуден!)

С точки зрения административных регламентов работы компании следует максимально полно реализовывать принцип «каждый знает ровно столько, сколько необходимо в его работе». В случае с ИТ-специалистом, по-видимому, работа должна быть организована так, чтобы он не участвовал в обсуждениях работы менеджеров, участия в конкурсах и т. п., а имел отношение только к техническому обслуживанию корпоративной информационной системы.

Если всё-таки появляются признаки утечки конфиденциальной информации (почему-то конкурент всегда опережает, постоянно перехватывая «наших» кандидатов и т. п.), то следует провести независимый аудит информационной безопасности компании. Такие услуги сейчас достаточно хорошо представлены на российском рынке.

В перспективе может появиться и ещё один механизм обеспечения информационной безопасности — страхование рисков. Но пока это ещё только в стадии обсуждений, поскольку страховые компании не умеют оценивать потенциальный ущерб от реализации угроз информационной безопасности.

Перечисленные в начале статьи проблемы являются частными в общем контексте Безопасности Компании. Они различаются по своему характеру, и каждая из них заслуживает отдельного подробного обсуждения.

* Алексей Сальников, заместитель директора института проблем информационной безопасности МГУ им. М.В.Ломоносова