среда, 17 июня 2009 г.

ISSP \ Домен 01. Информационная безопасность и управление рисками. Часть 12

В этой части рассмотрены следующие вопросы:
  • Персонал
  • Структура
  • Правила приема на работу
  • Контроль сотрудников
  • Увольнение
  • Обучение (тренинги) по вопросам безопасности
  • Различные типы обучения (тренинга) по вопросам безопасности
  • Оценка результатов обучения
  • Специализированное обучение по безопасности
Обновлено: 02.03.2010

Многие обязанности персонала имеют прямое отношение к безопасности компании. Хотя общество стало чрезвычайно зависимым от технологий, люди остаются ключевым фактором успеха компании. В безопасности чаще всего именно человек является слабейшим звеном. Это является следствием человеческих ошибок, недостатков в обучении и приводит к мошенничеству, несанкционированным или небезопасным действиям. Человек во многих случаях является причиной успеха хакерских атак, шпионажа, повреждения оборудования. Хотя будущие действия людей нельзя предсказать, можно внедрить определенные превентивные меры, которые помогут минимизировать риски. Такими превентивными мерами могут быть следующие: прием на работу только квалифицированного персонала, контрольные мероприятия, детальные должностные инструкции, обучение персонала, строгий контроль доступа, обеспечение безопасности при увольнении сотрудников.


Если компания хочет иметь эффективную безопасность на уровне персонала, руководство должно внедрить четкую структуру и следовать ей. Эта структура включает в себя четкое описание обязанностей, разграничение полномочий, ответственность (например, объявление выговоров) за определенные действия. Четкая структура исключает непонимание, кто и что должен делать в различных ситуациях.

Есть несколько аспектов, которые должны быть внедрены для снижения возможностей для мошенничества, саботажа, краж, неправильного использования информации, а также уменьшения вероятности возникновения других проблем безопасности. Одним из таких аспектов является разделение обязанностей (separation of duties), которое гарантирует, что один человек не сможет самостоятельно выполнить критичную задачу. Разделение обязанностей также снижает вероятность ошибок – если один человек ошибся, другой, скорее всего, увидит ее и исправит. Разделение обязанностей снижает риски мошенничества, так как сотрудник не может выполнить самостоятельно критичную операцию и ему необходимо вступить в сговор с другим сотрудником, а вероятность сговора двух и более людей существенно ниже вероятности действий отдельного человека.

При разработке программного обеспечения должно быть явное разделение между средой разработки, средой тестирования, библиотекой программного обеспечения и производственной средой. Программистам должна быть доступна только среда разработки, в которой они могут разрабатывать программное обеспечение и производить его предварительное тестирование. После разработки исходные тексты передаются другому человеку, который проводит контроль качества кода и тестирование его работы в отдельной среде, являющейся копией производственной среды. Только когда код прошел все необходимые тесты, он размещается в библиотеке программного обеспечения. Для внедрения в производственную среду, программное обеспечение берется только из библиотеки. Код ни в коем случае не должен попадать напрямую от программиста в производственную среду без тестирования и сохранения в библиотеке! Тестовая среда должна быть полностью отделена от производственной, чтобы непроверенное еще программное обеспечение не нанесло вреда данным и системам, находящимся в реальной работе. Программист не должен «латать» свои программы непосредственно в процессе их эксплуатации! Должны быть внедрены простые и эффективные методы, не позволяющие вносить изменения в программное обеспечение компании небезопасными способами.


В зависимости от позиции, на которую компания ищет нового сотрудника, должен выбираться уровень фильтрации кандидатов, проводимой специалистами кадровой службы компании, чтобы найти именно того человека, который лучше всего подходит к условиям этой позиции. Сотрудники – это своего рода инвестиции компании, поэтому тратя дополнительное время на поиск и найм нужных сотрудников, компания может увеличить возврат своих инвестиций.

Следует тестировать и оценивать навыки, особенности характера кандидатов, проверять прошлое кандидатов, их рекомендации, образование, данные военного учета и т.д. Во многих случаях важные черты поведения и характера кандидата могут быть не заметны, поэтому следует готовить специальные вопросы, персональные тесты, наблюдать за кандидатом, а не просто читать его резюме.

Более детальная проверка информации о кандидате может выявить массу интересных сведений. Например, необъяснимые пробелы в трудовом стаже, различия в заявленной и фактической квалификации, судимости, штрафы за нарушение правил вождения автомобиля, искажение названий компаний-работодателей, плохая кредитная история, увольнения не по собственному желанию, нахождение в различных криминальных списках, реальные основания увольнения с предыдущих мест работы. Это дает реальную выгоду компании, т.к. является, по сути, первой линией обороны для защиты от нападения изнутри. Любая негативная информация, выявленная на данном этапе, может указывать на потенциальные проблемы, которые потенциальный сотрудник может создать для компании позднее. Например, не стоит принимать на работу в бухгалтерию или кассу человека с плохой кредитной историей.

Такая проверка преследует сразу несколько целей – это снижение рисков, уменьшение расходов по найму, минимизация текучести кадров в компании. Важно провести эту проверку до приема сотрудника в компанию, т.к. провести проверку уже работающего сотрудника гораздо сложнее – для этого нужны конкретные и веские причины. Такой причиной может быть, в частности, переход сотрудника на более критичную должность (с точки зрения безопасности компании).

Возможные критерии проверки могут включать:
  • Отслеживание Номера карточки социального страхования
  • Проверка по криминальным спискам города
  • Проверка по федеральной криминальной базе
  • Проверка на наличие в реестре сексуальных преступников
  • Проверка предыдущей работы
  • Проверка образования
  • Проверка профессиональных отзывов
  • Иммиграционный контроль
Дополнительный контроль для позиций высокого уровня или критичных позиций может включать следующее:
  • Проверка профессиональных лицензий/сертификатов
  • Отчет по кредитной истории
  • Проверка на наркотики
Новым сотрудником должно быть подписано соглашение о неразглашении конфиденциальной информации. Должны быть учтены любые возможные конфликты интересов и при необходимости с новым сотрудником должны быть заключены дополнительные соглашения. Аналогичные требования следует соблюдать и в отношении временных сотрудников.


Структура менеджмента в компании должна быть построена таким образом, чтобы каждый сотрудник и руководитель имел вышестоящего руководителя, перед которым он должен отчитываться о своей работе, а также, чтобы руководители могли контролировать равномерное и разумное распределение обязанностей между своими подчиненными. Последствия несоблюдения требований и неприемлемого поведения должны быть доведены до сведения сотрудников до того, как это произойдет. Руководители должны обладать соответствующими навыками, позволяющими обеспечить эффективный контроль и выявлять необычные действия на раннем этапе, пока ситуация не вышла из под контроля.

Ротация обязанностей (rotation of duties) позволяет сохранить здоровую и продуктивную работу подразделений. Один человек не должен оставаться на одной и той же должности длительное время, так как в конечном итоге он может получить слишком большой контроль над отдельным сегментом бизнеса. А такой уровень контроля может стать причиной мошенничества, искажения данных, ненадлежащего использования ресурсов.

Сотрудники, работающие в критичных для компании областях, обязательно должны периодически брать отпуск (это известно как политика обязательного отпуска (mandatory vacation policy)). Во время их отпуска другие сотрудники должны исполнять их обязанности, что позволит выявить возможные ошибки и мошеннические действия. Должны обязательно контролироваться и расследоваться два варианта сетевых аномалий: использование учетных записей сотрудников, отсутствующих на рабочем месте (например, находящихся в отпуске), а также прекращение определенных проблем при отсутствии кого-либо на рабочем месте.

Существует два варианта разделения обязанностей – разделение знаний (split knowledge) и двойное управление (dual control). В обоих случаях для выполнения операции требуется одновременное участие двух или более сотрудников, имеющих соответствующие полномочия. В случае разделения знаний ни один из сотрудников не знает всех деталей выполняемой задачи (например, чтобы открыть банковское хранилище два ответственных сотрудника должны ввести свою часть кода в электронный кодовый замок). В случае двойного управления также требуются два уполномоченных сотрудника, но каждый из них выполняет свою часть задачи (или миссии). Например, для запуска ракеты два офицера должны одновременно и независимо друг от друга вставить и повернуть ключ. При этом обеспечивается невозможность выполнения этих операций одним человеком.


Увольнение может происходить по различным причинам, и, соответственно, оно может приводить к различной реакции увольняемых. Компания должна иметь специальные процедуры увольнения, безусловно применяемые во всех случаях увольнения сотрудников и руководителей. Например:
  • Сотрудник должен покинуть здание немедленно в сопровождении руководителя или охранника;
  • Сотрудник должен сдать все идентификационные бейджи или ключи, пройти специальное интервью, вернуть имущество компании;
  • Учетные записи и пароли сотрудника должны быть немедленно заблокированы или изменены.
Это кажется излишне жестким и бессердечным, но статистика говорит о том, что слишком большое число компаний пострадали от мести уволенных сотрудников.


Директивы руководства, имеющие отношение к безопасности, выражаются в виде политики безопасности, а также стандартов, процедур и руководств, разрабатываемых для поддержки этих директив. Однако эти директивы не будут эффективны, если никто не знает о них и не соблюдает. Чтобы безопасность была эффективной, все сотрудники без исключений, включая высшее руководство, должны быть осведомлены о важности обеспечения безопасности компании. Все сотрудники должны знать относящиеся к ним требования безопасности и понимать смысл обеспечения безопасности компании в целом.

Защитные меры и процедуры программы безопасности должны соответствовать характеру деятельности компании и обрабатываемым данным. Безопасность компании, которая продает прохладительные напитки, сильно отличается от безопасности компании, производящей ракеты. Разные типы компаний могут иметь очень сильно отличающуюся корпоративную культуру. Поэтому, чтобы программа обучения по вопросам безопасности была эффективной, она должна быть понятной, учитывающей характер деятельности и особенности корпоративной культуры компании.

Обучение должно быть всесторонним, программа обучения должна быть сформирована с учетом особенностей отдельных обучаемых групп и всей компании в целом. Целью обучения является достижение понимания каждым сотрудником важности безопасности, как для всей компании, так и для него лично. В процессе обучения должны, в частности, рассматриваться вопросы об обязанностях сотрудников, допустимом поведении, ответственности за несоблюдение требований (от уведомления до увольнения) и т.д.


При проведении обучения по вопросам безопасности, слушателей обычно разделяют на три категории: руководство, персонал и сотрудники ИТ-подразделений. Программы обучения должны быть подготовлены с учетом особенностей каждой категории, в том числе их обязанностей, ответственности и ожиданий.

Высшее руководство ценит краткость, ориентацию на корпоративные активы, финансовые выгоды и потери. Руководители должны понять, как повлияют угрозы и их последствия на стоимость акций компании, какие механизмы безопасности должны быть интегрированы в бизнес-процессы и подразделения, которые они курируют, а также в их собственную деятельность. Руководители должны понимать важность этих задач, так как именно они будут обеспечивать поддержку безопасности в деятельности подконтрольных им подразделений.

Руководители среднего звена должны получить более детальные объяснения политик, процедур, стандартов и руководств, также они должны понять, как это проецируется на деятельность их подразделений. Руководители должны хорошо понимать, зачем безопасности нужна их поддержка и каков уровень их ответственности за безопасную работу подчиненных им сотрудников. Им должно быть показано, как последствия невыполнения требований безопасности сотрудниками их подразделений влияют на компанию в целом и как они, руководители, будут за это отвечать.

ИТ-подразделения должны получить различные презентации в соответствии с выполняемыми ими задачами. Они должны получить более детальную информацию, чтобы обсудить технические настройки, обработку инцидентов, понять различные типы недостатков безопасности, которые они должны выявлять и предотвращать.

Презентации, предназначенные для остального персонала, должны показать важность обеспечения безопасности для компании в целом и для каждого сотрудника в частности. Лучше всего, если сотрудники поймут, как небезопасные действия могут негативно отразиться на них самих, и какое участие они должны принимать в предотвращении таких действий. Презентации должны иметь много примеров приемлемых и неприемлемых действий. Примеры следует приводить из областей, связанных с повседневной работой сотрудников компании, например, таких, как работа с электронной почтой, сетью Интернет, работа с конфиденциальной информацией и т.п. Сотрудники должны понять, что требуется от них самих и чем им грозит несоблюдение требований безопасности. Желательно по результатам обучения получить подпись каждого сотрудника об ознакомлении с требованиями и понимании ответственности за их несоблюдение. Это повысит осознание сотрудниками важности вопросов безопасности, а в случае инцидентов не позволит им уйти от ответственности, заявив, что им никто не говорил о требованиях безопасности.

Каждая группа должна понять, кому сообщать о подозрительной деятельности и как действовать в таких ситуациях. Сотрудникам должно быть объяснено, что им самим не нужно пытаться бороться с атакующими или противодействовать мошенническим действиям. В случае выявления таких фактов, они должны уведомить об этом своего непосредственного руководителя, который должен определить, как действовать в этой ситуации.

Обучение (тренинги) по вопросам безопасности должно периодически повторяться. Оптимальная периодичность – раз в год. Основная задача данного обучения – добиться понимания сотрудниками важности обеспечения безопасности, изменить их поведение и отношение к безопасности.

Для повышения осведомленности по вопросам безопасности можно использовать множество различных методов. Например, помимо традиционного обучения (тренингов) можно использовать такие вещи, как баннеры, плакаты, пособия работника, которые будут напоминать сотрудникам об их обязанностях и правильных подходах к обеспечению безопасности. Также, важно доводить до сведения сотрудников информацию об инцидентах, рассказывать им о том, как им не стать жертвой вредоносного программного обеспечения, социальной инженерии и других опасностей.


Обучение по вопросам безопасности – это один из видов защитных мер. Поэтому, как и для любых других защитных мер, его выполнение должно отслеживаться, а эффективность – оцениваться. Нет смысла тратить деньги на то, что не работает, и нет смысла улучшать что-то, что не нуждается в улучшении. После обучения, компания может раздать сотрудникам анкеты, провести оценку знаний сотрудников, получить обратную связь и оценить, таким образом, эффективность программы обучения. Нужно также учитывать, что в компании наверняка найдется несколько сотрудников, которые будут сопротивляться этому, считая, что им навязывают нечто, совершенно им не нужное. С такими сотрудниками необходимо проводить отдельную работу, чтобы добиться правильного понимания ими значимости обеспечения безопасности.

Хорошим индикатором эффективности обучения является сравнение количества сообщений об инцидентах, связанных с безопасностью, «до» и «после» обучения. Если количество сообщений сотрудниками об инцидентах возросло, значит время на их обучение было потрачено не зря.

При проведении обучения рекомендуется повторять наиболее важные аспекты по нескольку раз в разных формах и контекстах, приводить актуальные примеры, объяснять позитивным, простым для понимания языком. И самое главное – процесс обучения по вопросам безопасности должен полностью поддерживаться высшим руководством компании. Руководство должно распределить ресурсы для выполнения этой работы и обеспечить присутствие сотрудников.

При проведении дистанционного обучения, следует контролировать прохождение обучения каждым сотрудником. В должностные обязанности сотрудников должны быть внесены пункты о необходимости прохождения данного обучения.


Сегодня компании тратят огромные средства на устройства и технологии безопасности, однако часто забывают, что ими нужно уметь пользоваться. Без проведения специализированного обучения персонала, деньги могут быть потрачены зря, и компания останется незащищенной. Многие понимают, что человек – самое слабое звено в безопасности, однако не тратят усилий на обучение этих людей.

Различные роли требуют различных видов обучения (администрирование межсетевых экранов, управление рисками, обслуживание систем IDS и т.п.). Квалифицированный персонал – это один из важнейших компонентов безопасности компании.
Таблица 1-8.Аспекты повышения осведомленности, тренингов и обучения

Ссылки по теме:

1 комментарий:

eagle комментирует...

Детализированы проверки, которые рекомендуется проводить при приеме на работу новых сотрудников