logo
Материалы для PDF / Информационная безопасность

Управление персоналом

Управление персоналом начинается с приема нового сотрудника на работу и даже раньше — с составления описания должности. Уже на дан­ном этапе желательно подключить к работе специалиста по информаци­онной безопасности для определения компьютерных привилегий, ассо­циируемых с должностью. Существует два общих принципа, которые сле­дует иметь в виду:

Принцип разделения обязанностей предписывает так распределять роли и ответственность, чтобы один человек не мог нарушить критичес­ки важный для организации процесс. Например, нежелательна ситуация, когда крупные платежи от имени организации выполняет один человек. Надежнее поручить одному сотруднику оформление заявок на подобные платежи, а другому — заверять эти заявки. Другой пример — процедурные ограничения действий суперпользователя. Можно искусственно «расще­пить» пароль суперпользователя, сообщив первую его часть одному со­труднику, а вторую — другому. Тогда критически важные действия по ад­министрированию ИС они смогут выполнить только вдвоем, что снижа­ет вероятность ошибок и злоупотреблений.

Принцип минимизации привилегий предписывает выделять пользователям только те права доступа, которые необходимы им для выполнения служебных обязанностей. Назначение этого принципа очевидно — уменьшить ущерб от случайных или умышленных некор­ректных действий.

Предварительное составление описания должности позволяет оценить ее критичность и спланировать процедуру проверки и отбора кандидатов. Чем ответственнее должность, тем тщательнее нужно проверять кандида­тов: навести о них справки, быть может, побеседовать с бывшими сослужив­цами и т.д. Подобная процедура может быть длительной и дорогой, поэтому нет смысла дополнительно усложнять ее. В то же время неразумно и совсем отказываться от предварительной проверки, чтобы случайно не принять на работу человека с уголовным прошлым или психическим заболеванием.

Когда кандидат определен, он, вероятно, должен пройти обучение; по крайней мере, его следует подробно ознакомить со служебными обя­занностями, а также с нормами и процедурами информационной безо­пасности. Желательно, чтобы меры безопасности были им усвоены до вступления в должность и до заведения его системного счета с входным именем, паролем и привилегиями.

С момента заведения системного счета начинается его администри­рование, а также протоколирование и анализ действий пользователя. По­степенно изменяется окружение, в котором работает пользователь, его служебные обязанности и т.п. Все это требует соответствующего измене­ния привилегий. Техническую сложность представляют временные пере­мещения пользователя, выполнение им обязанностей взамен сотрудника, ушедшего в отпуск, и иные обстоятельства, когда полномочия нужно сна­чала предоставить, а через некоторое время взять обратно. В такие пери­оды профиль активности пользователя резко меняется, что создает труд­ности при выявлении подозрительных ситуаций. Определенную аккурат­ность следует соблюдать и при выдаче новых постоянных полномочий, не забывая ликвидировать старые права доступа.

Ликвидация системного счета пользователя, особенно в случае конфликта между сотрудником и организацией, должна производиться максимально оперативно (в идеале — одновременно с извещением о на­казании или увольнении). Возможно и физическое ограничение досту­па к рабочему месту. Разумеется, если сотрудник увольняется, у него нужно принять все его компьютерное хозяйство и, в частности, крипто­графические ключи, если использовались средства шифрования.

К управлению сотрудниками примыкает администрирование лиц, работающих по контракту (например, специалистов фирмы-поставщика, помогающих запустить новую систему). В соответствии с принципом ми­нимизации привилегий им нужно выделить ровно столько прав, сколько необходимо, и изъять эти права сразу по окончании контракта. Пробле­ма, однако, состоит в том, что на начальном этапе внедрения «внешние» сотрудники будут администрировать «местных», а не наоборот. Здесь на первый план выходит квалификация персонала организации, его способ­ность быстро обучаться, а также оперативное проведение учебных курсов. Важны и принципы выбора деловых партнеров.

Иногда внешние организации принимают на обслуживание и админист­рирование ответственные компоненты компьютерной системы, например се­тевое оборудование. Нередко администрирование выполняется в удаленном режиме. Вообще говоря, это создает в системе дополнительные уязвимые мес­та, которые необходимо компенсировать усиленным контролем средств уда­ленного доступа или, опять-таки, обучением собственных сотрудников.

Мы видим, что проблема обучения — одна из основных с точки зре­ния информационной безопасности. Если сотрудник не знаком с полити­кой безопасности своей организации, он не может стремиться к достиже­нию сформулированных в ней целей. Не зная мер безопасности, он не сможет их соблюдать. Напротив, если сотрудник знает, что его действия протоколируются, он, возможно, воздержится от нарушений.