В дальнем-дальнем королевстве жил да был король. Большой любитель путешествий. Смолоду он объездил много стран. Был за морем. Но настало время, когда он сам стал королем. Стал управлять государством. И некогда ему стало путешествовать. А желание осталось. И подарил ему верховный маг той страны огромное зеркало, с помощью которого можно было заглянуть, куда угодно.
Читателю. Чем не сказочный аналог современного Интернета? Посмотреть куда угодно, в любую страну, не отрываясь от кресла?
Приказал король повесить то зеркало в дворцовом зале. И разрешил в него смотреть кому угодно. Что тут началось! Народ вообще практически перестал работать. Все к зеркалу идут.
Читателю. Дайте сотрудникам неограниченный неконтролируемый доступ в Интернет, и работа просто встанет. Так всегда было и, увы, есть и сейчас.
Позвал король верховного мага посоветоваться. Что делать? Снимать зеркало не хочется. Больно там дыра большая за зеркалом. Но делать что-то надо.
Позвал верховный маг своего подчиненного и приказал навести порядок, назначив Хранителем Зеркала.
Попросил тот два дня и чтобы на эти два дня никто не подходил к Зеркалу.
Прошло два дня.
На утро третьего Хранитель сказал, что все готово.
И настал день четвертый...
С утра принц отказался идти к завтраку. Как оказалось, у него образовались синяки под глазами, а у компании пажей — друзей принца синяки появились у кого под левым глазом, а у кого под правым. Но у всех.
Командующий пришел на совещание с огромной шишкой на лбу.
Да и вообще персонал как-то притих и усердно работал тише воды ниже травы.
Удивился король и попросил канцлера провести расследование.
Проведенное расследование показало, что Хранитель все понял буквально и Зеркало наказывало всех, кто использовал его не вовремя или не по назначению.
Принц с дружками пытался посмотреть на фрейлин в женской бане, за что и получил кулаком в лоб. А так как он стоял ближе всех к зеркалу, то и досталось ему больше других.
Генерал, сославшись на жару, решил наблюдать за гарнизоном через зеркало — и тоже получил по лбу с приговором: «Иди работай, лентяй!»
Другим досталось каждому по-своему.
Читателю. В чем была ошибка Хранителя? Ведь он, казалось, все выполнил! Ошибка же была в том, что он не рассказал персоналу, как себя вести. Не обучил, не принял зачеты. Очень часто сотрудники ИБ накладывают ограничения на работу с Интернетом и другие ограничения, но не поясняют, что можно и чего нельзя. В результате пользователи обижаются. И они правы. Что касается принца, то тут стоит усвоить, что политика безопасности едина для всех. Более того — с тех, у кого больше полномочий, и спрос должен быть куда больше!
Автор статьи — Microsoft MVP, Microsoft Security Trusted Advisor
Ссылка на статью: [URL=http://www.pcweek.ru/security/article/detail.php?ID=175833]Сказки о безопасности: Блокирование выхода в Интернет[/URL]
"Не обучил, не принял зачеты"... Это что ещё за новая форма обеспечения безопасности?! На предприятии должен быть разработанный и утверждённый документ "Политика безопасности компании" и его часть "Политика ИТ-безопасности", где цели и задачи безопасности, а на их основе разрабатывается комплекс организационно-технических мер и соответствующие документы. Часть правил включается в обязанности пользователей, часть отдельным документом. Сотрудник обязан ознакомится и поставить подпись. После подписи - никого не волнует, как усвоен материал - ответственность в том числе юридическая. Собственно усваивать особо нечего. Если вам ограничили доступ, то вы за его рамки не выйдите, если нет, то всё. что не запрещено - разрешено. Вышли за рамки - это уже инцидент, после расследования которого, помимо пользователя, уестествляют соответствующих начальников в обязанности, которых вменяются обеспечение безопасности - в том числе в ИТ-отделе.
Donat Lipkovsky 27.07.2015 23:28:00
Это вы так придумали? А теперь смотрим стандарт ISO 27001-2013 Раздел 7 "Поддержка"
7.2 Компетенции Организация должна: a) определять необходимую компетентность персонала, который самостоятельно выполняет работу, что влияет на результативность информационной безопасности; b) обеспечить то, что этот персонал обладает необходимыми компетенциями на основе соответствующего обучения, тренингов или опыта; c) при необходимости принять меры для получения необходимых компетенций и оценить эффективность принятых мер; d) сохранять соответствующую документированную информацию в качестве доказательств наличия компетенций. ПРИМЕЧАНИЕ Соответствующие меры могут включать, например: проведение тренинга, наставничество или переаттестацию действующих сотрудников; или наем/привлечение по контракту компетентных лиц. 7.3 Осведомленность Персонал, выполняющий работы в рамках организации, должен быть осведомлен: a) о политике информационной безопасности; b) о вкладе в повышение результативности системы менеджмента информационной безопасности, включая выгоды от улучшения состояния информационной безопасности; c) о последствиях в результате не выполнения требований системы менеджмента информационной безопасности.
Государственный стандарт РФ ГОСТ ИСО/МЭК 27001 – 2006 П.5 Ответственность руководства Руководство организации должно предоставлять доказательства выполнения своих обязательств в отношении …. d) доведения до всех сотрудников организации информации… 5.2.2 Подготовка осведомленность и квалификация персонала А) определения требуемого уровня знаний и навыков для персонала, который выполняет работу, влияющую на СМИБ B) организации обучения персонала …. С) оценки результативности принятых действий d) ведения записей об образовании, подготовке, опыте и квалификации сотрудников (см 4.3.3)
Владимир Безмалый 28.07.2015 06:29:04
О, Боже… Вы ещё процитируйте 10 заповедей и сошлитесь на притчи Христовы среди местного населения, как пример разъяснительной работы в массах. 2 тысячи лет коту под хвост. На чём нынче держится остатки морали и нравственности? На заповедях и притчах? Нет. Порядок держится на законах в виде конкретных правовых актов, а так же методах и средствах контроля в виде соответствующих – органов государственных и техсредств в помощь им. Вам ли не знать замечательную фразу – Устав не догма, но руководство к действию. Всю нормативную информацию при составлении документов по политике безопасности мы естественно учитываем и я, в части касающейся, знаю их и без ваших цитат. Речь не теории, а о суровой практике и буднях. Вы можете сколь угодно долго вести душещипательные беседы с персоналом, КПД – 0,1%. Абсолютно не эффективно в корпоративной среде. Для домашних пользователей – приятно и полезно. Я понимаю, как вам дорого слово «тренинг», а меня тошнит от него. А теперь почитайте название вашей статья, свой последний абзац и то, что написал я. «Ошибка же была в том, что он не рассказал персоналу, как себя вести.» Я же ясно написал о конкретных документах в организации, которые доводятся до личного состава под роспись. «В результате пользователи обижаются» - на что они обижаются если они во-первых ПРОЧИТАЛИ соответствующие инструкции, в том числе о том, что можно и что нельзя при пользовании Интернетом и, во-вторых – РАСПИСАЛИСЬ. Роспись, кроме всего прочего, это ещё и юридическая ответственность. А если вы эти «бумажные» дела подкрепили конкретными организационными и техническими решениями, по категориям пользователей, то разговор может быть лишь о том, насколько хорошо вы это сделали. Вы прописали во соответствующем документе запрет на посещение социальных сетей в рабочее время и технически запретили доступ – какие и кто вам задаст вопросы если, первое - люди ознакомились с правилами и второе – не смогли туда попасть? Вы технически помогли пользователям избежать наказания за нарушение правил организации, кроме всего прочего. Нет у меня в организации «обиженных». Тихо недовольные есть… А где их нет?!
Donat Lipkovsky 29.07.2015 11:08:58
Повторяю еще раз. Для особо упрямых. Мне по большому счету все равно как вы обеспечиваете безопасность в вашей компании. Более того, ваше руководство должно решать соответствуете вы своему месту или нет. Но есть стандарт. И если вы хотите соответствовать государственному стандарту, то придется. Ну а если вы считаете что законы и стандарты не для вас, то вам и отвечать
Владимир Безмалый 29.07.2015 18:47:56
А с чего вы взяли, что мой отдел не обеспечивает безопасность в компании в соответствии со стандартами? ))) "Принимать зачёты" у сотрудников компании??? Это государственный стандарт?! Боже правый. Где вы видели зачётные листы у сотрудников компании, теоретик вы наш. Кто будет их проверять? Какая государственная структура? И не надо сразу переходить на компетенцию - дурно попахивает. Я вам больше скажу - мы сами приглашаем компании занимающиеся аудитом для проверки. Уже было две таких проверки - и бреда в виде зачётов у сотрудников никто даже близко не собирался уточнять. Но вот то, что все без исключения сотрудники ознакомлены с правилами, причём, под роспись - вот это ставят в плюс, разработанный документ по политике безопасности и соответствующие правила и инструкции на его основе тоже в плюс идут. Да нам помогали их дорабатывать с фактической и юридической точек зрения. И не надо этих дешёвых вставок про компетенцию - дурно пахнет.
Donat Lipkovsky 29.07.2015 21:24:09
Я понимаю, вам очень хочется быть правым. Да пожалуйста. Какой ГОСТ вы нарушаете? Я написал.
Владимир Безмалый 29.07.2015 21:35:21
Только зарегистрированные пользователи могут оставлять комментарий.
