Использование ПО в компании

Давно уже заметил за собой одну особенность — я большую часть времени работаю не как сисадмин, а как сотрудник службы безопасности. Даже не знаю почему так получается. Но мне это очень нравится. Самое главное, что нужно понимать это «Нет идеальной защиты и никто не даст 100% гарантии, что вашы компьютеры/информационная система/IT инфраструктура компании защищена от всех видов атак.» Да кто знает, может быть большинство из компьютеров за которые вы отвечаете, уже состоит в каком-либо ботнете и DDoS’ит кого-то?! Все, что создано одним человеком, может быть разрушено другим человеком. Об этом надо помнить всегда! Особенно если ты отвечаешь помимо того, чтобы «принтер печатал» и «почта отправлялась» за такие моменты, как доступ сотрудников компании в офисное помещение, учет установленного ПО на компьютерах, доступ сотрудников к определенным категориям информации (коммерческой тайне, финансовым операциям).

Сегодня я решил основательно взяться за данный вопрос (не в своей компании вообще, а именно развивать себя в данном направлении) и открыл страничку, где буду собирать те или иные документы, относящиеся к вопросам безопасности информационной системы компаний, благодаря которым можно снизить возможные риски.

Первым выложенным документом является «Положение об использовании программного обеспечения (базовый комплект)«. В данном документе описываются самые простые аспекты установки, настройки и сопровождения рабочего места сотрудника. Конечно это не универсальный документ, но он закладывает основу. Дает возможность начать такую страшную и тяжелую вещь (это тяжело исключительно на этапе внедрения) как учет информационн-технологических ресурсов компании (в данном случае ПО и немного сами компьютеры).

В данном документе описывается вариант ведения учета установленного ПО на компьютерах сотрудников компании с помощью физического паспорта компьютера — формализованный бланк, в котором отражены все установленное ПО, а так же некоторые характеристики самого компьютера, например имя, IP- или MAC-адрес, инвентарный номер, какие-либо иные уникальные характеристики данного компьютера. Так же описывается запрос на установку (удаление) нового (старого) ПО именно в том виде, в котором, ИМХО, он должен проводиться постоянно в любой организации, где отдел ИТ составляет более чем «один мальчик, который заправляет бумагу в принтере». Процесс получается примерно следующий. В компании появляется вакантное место (расширение штата). Новый сотрудник найден и уже через неделю планируется его выход на работу. Начальник подразделения (отдела) в которое берется новый сотрудник должен сделать запрос в отдел ИТ на установку нового компьтера для организации рабочего места. В запросе указывается обязательно название отдела и должность нового сотрудника, перечень программ с которыми ему предстоит работать. Если среди запрошенных программ присутствует коммерческое ПО, а свобоных лицензий в запасе нет, то в таком случае делается запрос на закупку данного ПО с обоснованием, в котором указываются основные задачи для которых оно приобретается. После закупки, если таковая потребовалась, сотрудники отдела ИТ производят настройку компьютера (или же сборку из закупленных комплектующих), установку требуемого ПО. Так же на данный компьтер в обязательном порядке заводится паспорт (в образце бумажный вариант, но при желании вместо него можно указать электронный паспорт в какой-либо системе учета оборудования) где прописано все установленное ПО вне зависимости платное оно или нет. Любые изменения в составе программного обеспечения так же отражаются в паспорте данного компьютера. Данный паспорт (бумажный) хранится в отделе ИТ.

Так же помимо паспортов ведется общий журнал проведения планового (внепланового) аудита используемого ПО. В данном журнале отмечается факт проведения аудита, наличие/отсутствие нарушений со стороны пользователя по составу установленного ПО, факты случайного/преднамеренного заражения вредоносным ПО. Благодаря аудиту (возможно даже автоматизированному) возможно выявить и пресечь факты несанкционированного доступа к конфиденциальной информации относящейся к коммерческой тайне (обнаружение вредоносного ПО, установленного специально или случайно). В случае отсутствия возможности случайного заражения вредоносным ПО проводится расследование в отношении сотрудника, для которого сотрудник отдела ИТ проводивший плановый/внеплановый аудит предоставляет данные подтверждающие факт и способ заражения.

Не смотря на то, что подобными вещами, вообще, должны заниматься сотрудники отдела информационной безопасности (внутренняя служба безопасности компании), в большинстве случаев в компаниях существует только отдел ИТ (один или пара-тройка сисадминов), на плечи которого и ложится вопрос обеспечения безопасности внутренних данных компании. И первая угроза, с которой надо бороться, это именно сотрудники компании, которые имеют прямой доступ ко всем или почти ко всем данным среди которых есть данные категории «коммерческая тайна».

На этом я думаю можно остановиться пока что. Я уверен, что многие из системных администраторов, которые еще не навели порядок в своих компаниях в части парка компьютеров, учете программного обеспечения, рано или поздно столкнутся с данным вопросом и будут рвать волосы во всех местах, а у меня примерно так и было. Единственное чем я руководствуюсь помимо советов со стороны юридических отделов это желанием все знать, чего всем и советую.