Если ты не доверяешь своему системному администратору – лучше уволь его. Житейская мудрость.nnКак обезопасить свою компанию от недобросовестного системного администратора и нужно ли это делать? Нужно обязательно! Ведь зачастую именно системный администратор — это та серая мышь, которая знает большинство секретов компании, часто не придавая этому должного значения. Что же делать, если эта серая мышь оказалась недовольна и решила насолить Вашей компании? Ответ простой: иметь рычаги влияния, если уж такое случилось. А в целом значительно проще вообще не допустить подобной ситуации. Давайте поговорим о том, что нужно для этого сделать.nnВсе начинается с договора о неразглашении конфиденциальной информации. Нет! Все начинается с человеческих отношений между компанией и сотрудником. Отъявленных негодяев обычно отсеивает отдел кадров. Остальные же сотрудники, на момент приема на работу, мотивированы на долгую плодотворную совместную работу и сотрудничество. Однако в процессе трудовых будней ситуация начинает меняться, и задача руководства компании поддерживать здоровую атмосферу, создавая положительный моральный и материальный фон для своих подчиненных. Возможно, ради поддержания сбалансированной среды внутри компании нужно даже с кем-то расстаться. Но если это сделать грамотно, не обидев при этом человека, велика вероятность того, что ваши тайны останутся тайнами. К слову сказать, каждый сотрудник должен знать, какая именно информация о компании или ее работе попадает в категорию «Тайны». Именно это является первоочередной задачей договора о неразглашении конфиденциальной информации. Конечно же, в нем должны быть прописаны сроки действия договора, мера ответственности за разглашение, но основная его задача — информационная: сотрудник должен четко понимать, что можно делать, а что — нельзя.nnДалее. Если сотрудник не владеет конфиденциальной информацией, то он и не сможет ее передать кому-либо еще. С системным администратором тут все немного сложнее, поскольку обычно администрирование серверов предполагает полный доступ к информации, расположенной на этих серверах. А сложившееся мнение о том, что системный администратор должен быть мастером на все руки, предполагает его полный доступ ко всем системам, а соответственно неконтролируемое владение большим объемом информации. Положение может спасти правильный подбор количества персонала, и грамотное разделение полномочий для обеспечения безопасности серверов и информационных систем между администраторами ИТ и сотрудниками отдела безопасности. На примере почтовой системы можно показать принцип распределения прав. Системному администратору в системе управления почтовыми сообщениями назначена роль «Administrator», которая в свою очередь имеет полный доступ к инструментам администрирования почтовой системы, но среди перечня этих инструментов нет возможности поиска информации по всем почтовым ящикам. Такая возможность есть у роли «Security manager». Данная роль обычно назначается сотрудникам отдела безопасности системным администратором. При этом, сотруднику с ролью «Administrator» не может быть назначена роль «Security manager» и наоборот. Этот метод не устраняет возможность получения системным администратором доступа ко всем письмам пользователей, но несколько затрудняет, а также делает явными попытки получения такого доступа. Такой подход имеет целесообразность при наличии некоторого количества сотрудников, правильном распределении обязанностей, в том числе осуществлением контроля за изменениями. Практически каждая система имеет ролевую структуру управления, однако не каждая система, имеет ограничения на использование нескольких ролей. Поэтому для настройки эффективного распределения прав нужно использовать функционально-организационный комплекс действий, то есть на ряду с грамотным подбором информационных систем, обладающих нужным функционалом, нужно еще и выстроить процессы контроля предоставления доступа к системам, не имеющим функционала разграничения ролей.nnКонтроль опять же может быть организован, как технически — с помощью систем мониторинга и логирования и т.п. или же организационно — с помощью регулярных проверок листов доступа (используемых в системах) сотрудниками безопасности. В реальной жизни сотрудникам безопасности не хватает знаний и навыков для выполнения проверок, в таком случае они должны действовать по инструкциям, которые тщательно подготовлены и проработаны системными администраторами. Минусы организации технического контроля в том, что системы, которые осуществляют контроль, зачастую не такие уж и маленькие, и также требуют администрирования. А кто будет за этим следить? Сложности организационного контроля в построении процесса проверки с соблюдением баланса между сухим бюрократизмом и полным пофигизмом выполнением работ ради галочки.nnИз других средств предотвращения утечки конфиденциальных данных можно отметить:n
- Использование исключительно корпоративных сервисов для общения и передачи информации.
- Ограничение на использование переносных носителей.
- Использование только корпоративных мобильных устройств.
- Запрет на копирование информации в случае нестандартного доступа к ней, например с не доверенных ПК или в случае удаленного доступа.
Однако в этом вопросе нужно не переусердствовать. Поскольку если после внедрения таких изменений, использование информационных систем по их прямым назначения будет излишне затруднено, то эффекта от внедрения не будет. Будут изыскиваться возможности обхода этих запретов, что ведет к появлению лишних уязвимостей системы.nnОтдельно хочется отметить необходимость наличия процедуры увольнения сотрудника. Своевременно заблокированный доступ к данным уволенного пользователя, может сохранить как конфиденциальность данных, так и сами данные. Для оперативной реакции на подобные изменения процессы приема и увольнения сотрудника на предприятии должна быть четко проработаны и отточены.nnПодводя итог можно сказать, что обеспечение конфиденциальности корпоративных данных задача объемная и трудоемкая. Её успешное решение строится в первую очередь на человеческих отношениях, а также на организационных мероприятиях, конечно же подкрепленных технической базой. Вы можете выстраивать эти взаимосвязи самостоятельно или же передать Ваши задачи по обслуживанию информационных систем аутсорсинговой компании, в которой эти процессы уже успешно внедрены и работают.nn