А что про вас знает сисадмин?

Информационная безопасность и защита информационных систем от утечек

Обычно сисадмин — человек, у которого есть доступ ко всей информации на предприятии. Он знает о сотрудниках все. В том числе о руководителе, который наделил его такими полномочиями. Нередки случаи, когда при увольнении сисадмин блокирует доступ к важной информации либо уничтожает критически важные данные. Как директору не стать заложником собственной ИТ-службы и нужно ли контролировать сисадмина, рассказывает Артур Скок, эксперт по внедрению систем защиты проекта «Контур-Безопасность» компании «СКБ Контур».                                           

— Некоторые руководители в целях «конспирации» ведут деловую переписку с мобильных устройств. Стоит ли бояться сисадмина, у которого есть неограниченная власть над информацией?

— Скорее стоит задуматься, как грамотно распределить роли и права в информационной системе. Администратор всего лишь самая очевидная роль с большим набором прав. Есть еще, к примеру, бухгалтеры, операционисты, прочие пользователи, которые имеют доступ к критически важным функциям в организации.

— Как минимизировать риск потери или нецелевого использования информации этими пользователями?

— Наиболее правильный подход — определить:
1) критически важные должности (роли) в организации;
2) необходимость и достаточность прав для этих должностей.

Это позволит предоставить каждому сотруднику доступ только к той информации, которая необходима для работы (например, доступ бухгалтеру к клиент-банку, но не в личную почту).

— Кто должен контролировать наличие/отсутствие прав доступа пользователей к информационным системам?

— Во-первых, должен быть человек, отвечающий за безопасность: например, администратор информационной безопасности (далее АИБ). Для крупных организаций это необходимо. Во-вторых, этот человек должен быть максимально отдален по штатной структуре от ИТ-отделов. В-третьих, АИБ должен быть подчинен только топ-менеджменту. Не раз случалось, что АИБ, подчиняясь более «младшим» структурам, например, бухгалтерии, давал им расширенные права в обход регламентов и инструкций.

— Вернемся к системным администраторам. Можно ли их контролировать?

— Для крупных организаций необходимо разделить обязанности управления техническими процессами (системный администратор) и обязанности контроля и аудита прав (АИБ). Для небольших организаций подойдет следующее комплексное решение: шифрованная файловая система (EFS в продуктах Microsoft, опции шифрования домашних папок в Linux) и аутентификация с помощью биометрии (ProSoft) или аппаратных токенов (eToken, ruToken, RSA). В таком решении данные пользователя доступны только авторизованному лицу. В связке с аутентификацией по материальному «ключу» авторизацию сможет получить только владелец данных.

— Многие руководители не рискуют пользоваться ICQ, Skype, электронной почтой.

— В большинстве случаев эти сетевые службы используют шифрование канала передачи. Сайты, где используется чувствительная информация, работают с использованием https-протокола. Основным источником утечки в данном случае будет лишь наличие вирусов на ПК.