Thursday, December 18, 2008

Думаю 100% сотрудников компаний раньше или позже носили домой конфиденциальные документы, для того, чтобы не сидеть на работе до поздней ночи, а выполнить задание руководства сидя дома за чашкой ароматного кофе.
С точки зрения топорной информационной безопасности данный факт - грубейшее нарушение, соответственно, сотрудник должен быть наказан.
Но:

  1. Если абстрагироваться от нарушения и посмотреть на все это глазами сотрудника\компании? Человек пытается сделать свою работу, он перегружен, в условиях "типо-кризиса" он пытается сделать все от него зависящее, чтобы сохранить рабочее место.
  2. Ведет ли это к появлению новых рисков? Да. Но так ли велики эти риски? Должен ли бизнес жертвовать производительностью работы работников, ради того, чтобы конфиденциальные документы оставались внутри охраняемого периметра, который и является основной целью при планировании кражи информации.
  3. Может быть правильнее создать свод правил и предоставить сотрудникам, нуждающимся в возможности работы на дому технические средства, которые бы позволили ему работать дома без создания новых рисков для компании?
  4. Почему мы закрываем глаза на топов и лиц близких к ним, которые незаменимы на ограниченном промежутке времени и так или иначе работают на личных\общественных компьютерах находясь на больничном или в отпуске?
  5. Решает ли возможность удалённого доступа к сети компании все проблемы? Ведь наличие удалённого доступа значительно больший риск, чем обработка конкретного документа на конкретном компьютере в конкретном промежутке времени.
  6. Если мы позволяем сотруднику обработать документ\документы дома, как сделать процедуру разрешения такой работы быстрой и простой, чтобы заявка на это дело не ходила неделями между службами, в которых сотрудники жуя карандаши принимают рандомное решение?
Как Вы боретесь с этим? Что используете? Какие регламенты, программные продукты и тп.

5 comments:

Unknown said...

У нас прекрасно развит удаленный доступ (Cisco ASA+SecureID), но чаще всего сотрудники работают дома на корпоративных ноутбуках. А на них стоят все средства защиты (last updates, AntiVirus, IPS, DeviceControl).

Sergey Soldatov said...

Игорь, отвечу тезисами:
1. Работать надо в рабочее время.
2. Сравнение риска потери конфиденциальности с снижением производительности дело неблагодарное, да и, вообще, как мне кажется, невозможное. Производительность труда не должна основываться на необходимости работы за пределами рабочего времени.
3. Согласен. Я вообще полностью ЗА teleworking, поэтому мысли о том, как его сравнять по безопасности с работой на рабочем месте меня посещали. Основные правила:
- сотрудник должен работать на оборудовании компании: ему выдается ноут, никаких домашних ПК и интернет-кафе. В случае интернет-кафе можно подумать о решениях типа Citrix, но это уже не совсем "полноценная" работа, да и риски в случае "не нашего" оборудования все равно выше.
- данный мобильный компьютер с этих пор считается границей защищенного сетевого периметра, следовательно, он не должен уступать по уровню защиты корпоративному периметру со всем джентльменским набором: firewall, IPS, antivirus, current patchlevel, контроль портов ввода-вывода (Device Control) и т.п.
- поскольку, в любом случае, у мобильного пользователя "степеней свободы" больше, awareness training должен регулярно проводиться под роспись.
4. Мы стараемся не закрывать глаза на топов.
5. На мой взгляд, проблема безопасности - это больше проблема культуры пользователей, чем техническая. Сидя внути сети сотрудник может также легко послать конфиденциальный документ по ошибочному почтовому адресу, а если озадачиться унести информацию, то никакие техсредства защиты не помогут. В текущей ситуации я практически уверен, что удаленный доступ можно построить безопасно, адресовав практически все связанные с этим риски.
6. Ну это чисто процедурный вопрос. У нас процедура предоставления удаленного доступа разрабатывалась в рамках проекта построения удаленного доступа.

Конкретно называть продукты, я думаю, не очень политкоректно в данном блоге, но основные типы их я перечислил.

Igor Gots said...

Попробую ответить сразу всем.
1. Бизнес-ноутбук имеет стоимость порядка 1500 уе.
2. Лицензии на базовое ПО (ОС, Офис) 700 у.е.
3. Лицензии на средства защиты - 200-300 у.е.
4. Лицензии на удаленный доступ 20 у.е.
5. Затраты на поддержку удаленного рабочего места - 30-40 у.е. в месяц.
6. Затраты на интернет. 20 у.е в месяц.
Итого стоимость дополнительного рабочего места начитается примерно с 2500 у.е. + порядка 50 у.е. в месяц на поддержку. По-моему крутовато для компании в которой количество сотрудников измеряется тысячами.
Плюс ко всему топам глубого начхать на правила. Мы можем делать робкие попытки заставить их соблюдать правила, обязательные для простых сотрудников, но только не говорите мне пожалуйста, что это срабатывает слишком часто :)
Кроме того, я писал - удаленный доступ это практически "из пушки по воробьям" - зачем ради того, чтобы человек мог 1-2 раза в месяц обработать дома несколько документов городить огород и привлекать кучу народу.

А как Вы посмотрите на такую идею? Замыкаем круг, отвечающий за разрешение передачи документов до 1-го человека.
Им будет руководитель сотрудника, который позволяет последнему работать дома - то есть руководитель продолжает участвовать в организации трудового процесса.
А теперь процедура: Руководителю предоставляются документы на вынос и какие-то параметры машины на которой они будут обрабатываться. Руководитель загружает их в определенное приложение и генерирует образ среды (vmware, ПО для организации песочницы?) в котором будет обработан документ. Образу, естественно, глубоко фиолетово до того, что творится на домашнем компьютере сотрудника - он изолирован от внешней среды и пригоден лишь для обработки конкретного документа\документов в течение ограниченного интервала времени.

Sergey Soldatov said...

1. Удаленное рабочее место по-любому будет дешевле арендованного в центре Москвы.
2. В Безопасности тоже есть топы, которые по своему уровню должны и имеют влияние на "несогласных" топов. Если в твоей компании безопасность никому не нужна (я имею в виду отсутствует поддержка со стороны топов) кроме тебя, можешь сворачивать свою деятельность, поскольку с позиции специалиста/начальника отдела/директора департамента мало что можно сделать.
3. То, что ты описал - очень интересная идея, но она - тоже техническое решение, которое стоит денег и надо рассчитать, что оно действительно дешевле, чем, например, решения DLP, в частности Windows Rights Management services или аналогичное от Adobe для PDF, и обеспечивает тот же уровень безопасности.

Igor Gots said...

1. Считаю это провокацией. :) За мкадом тоже есть жизнь!
2. Тут слишком много зависит от конкретных личностей.
3. RMS, как и решение от Адоба - притянуто за уши. Я видел неудачные попытки внедрения и не видел обратного.